U.D. 8 Juan Carlos Pérez González. UD 8. Auditorías

Transcripción

1 UD 8. Auditorías Requisitos de seguridade do sistema e dos datos. Obxectivos da auditoría. Ámbito da auditoría. Aspectos auditables. Mecanismos de auditoría. Alarmas e accións correctivas. Información do rexistro de auditoría. Técnicas e ferramentas de auditoría. Informes de auditoría 1. Auditorías. Ámbito y Aspectos Auditables. La auditoría informática es un proceso que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información (SI) salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, holita y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia. Los objetivos de la auditoría son: El análisis de la eficiencia de los SI La verificación del cumplimiento de la Normativa en este ámbito La revisión de la eficaz gestión de los recursos informáticos. La auditoría informática sirve para mejorar ciertas características en la empresa como: Desempeño Fiabilidad 1

2 Eficacia Rentabilidad Seguridad Privacidad La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT o ITIL (consultar en Internet para más información si lo deseaís) Tipos de Auditoría de Sistemas Dentro de la auditoría informática destacan los siguientes tipos (entre otros): Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc. Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la LOPD (Ley Orgánica de Protección de Datos) Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas. Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos. Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio. Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno. Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información. Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación. Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes. 2

3 En la realización de una auditoría informática el auditor puede realizar las siguientes pruebas: Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información. Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente. Las principales herramientas de las que dispone un auditor informático son entre otros: Observación Realización de cuestionarios Entrevistas a auditados y no auditados Muestreo estadístico Flujogramas Listas de chequeo Mapas conceptuales 2. Mecanismos, Técnicas y Herramientas de Auditorías en diferentes sistemas. Siempre se dice que Linux es un Sistema Operativo Seguro. Esta frase es cierta, debido a la propia filosofía y política de usuarios y permisos de Linux. Aún así, Linux puede convertirse en un Sistema Operativo vulnerable debido a ciertos despistes del administrador de la máquina, o como consecuencia de haber instalado software no lo suficientemente testeado. Es habitual configurar Linux como servidor de correo electrónico, servidor de ftp, servidor web Al mismo tiempo que ofrecemos estos servicios, es fácil dejar agujeros de seguridad, de ahí la necesidad de que existan gran cantidad de auditores de seguridad para Linux. Los programas auditores de seguridad son herramientas indispensables para el 3

4 administrador de un sistema, ya que permiten detectar, de forma rutinaria, problemas de seguridad para los que pudieran existir ataques conocidos. Estos programas pueden operar a muchos niveles, desde la comprobación de la pertenencia de archivos a usuarios y grupos del sistema, hasta pruebas sobre aplicaciones instaladas para verificar si éstas tienen agujeros conocidos. Un ejemplo de programa auditor en Linux es Tiger que permite es analizar el sistema para tratar de encontrar maneras de obtener privilegios de superusuario. Su diseño parte de la hipótesis de que cualquier otro uid o gid puede ser obtenido por personas no autorizadas, es decir, que cualquier persona puede hacerse pasar por un usuario cualquiera de la máquina, excepto, por supuesto, por el superusuario. Otros auditores de seguridad para Linux pueden ser: Cops, Satan/Sara, Trpwire o Nessus. De todas formas el logging o generación de los ficheros log es quizás la herramienta más potente para auditar el sistema. El logging permite que un sistema operativo o aplicación grabe eventos mientras ocurren y los guarda para un examen posterior.es un componente esencial de cualquier sistema operativo, al cual se le debe prestar mucha atención. En cuanto a seguridad nos permite mantener un registro de las acciones dañinas de un atacante. Son la evidencia de que nos han atacado. Recordad que se guardan en el directorio /var/log. De todas formas existen también los programas barredores que básicamente se encargan de borrar las entradas de los ficheros de logs correspondientes, de forma que no queden indicios de su entrada. Ejemplos son: Cloak2, UtClean y Marry. Por ello en sistemas críticos es importante generar backups periódicos de los ficheros logs. En Windows laauditoría puede hacer un seguimiento tanto de las actividades de los usuarios como de las actividades de Windows Server 2003 (que se denominan sucesos) de un equipo. Al utilizar la auditoría puede especificar qué sucesos se escriben en el registro de seguridad. Por ejemplo, el registro de seguridad puede mantener un registro de los intentos válidos y fallidos de inicio de sesión, y de los sucesos relacionados con la creación, apertura o eliminación de archivos u otros objetos. Una entrada de auditoría en el registro de seguridad contiene la información siguiente: La acción que se realizó. El usuario que realizó la acción. 4

5 El éxito o el error del suceso y la hora a la que se produjo el suceso. Una opción de directiva de auditoría define las categorías de sucesos que Windows Server 2003 registra en el registro de seguridad de cada equipo. El registro de seguridad le permite realizar un seguimiento de los sucesos que especifique. Windows nos proporciona varias categorías de auditorías para sucesos de seguridad. Cuando diseñamos nuestra estrategia, necesitaremos también ver que sucesos de aciertos y fallos incluimos de entre las categorías existentes: Sucesos de inicio de sesión de cuentas Sucesos de administración de cuentas Acceso al servicio de directorio Sucesos de inicio de sesión Acceso a objetos Cambios de directivas Uso de privilegios Seguimiento de procesos Sucesos de sistema 5

6 Por ejemplo cuando habilitamos la auditoría sobre los objetos podemos realizar un seguimiento sobre los intentos, con éxito o fallidos, de acceso a archivos, impresoras y registro de recursos. Cuando audita sucesos de acceso al Active Directory, Windows Server 2003 escribe un suceso en el registro de seguridad en el controlador de dominio. Por ejemplo, si un usuario intenta iniciar sesión en el dominio utilizando una cuenta de usuario de dominio y el intento es incorrecto, el suceso se graba en el controlador de dominio, no en el equipo donde se intentó iniciar sesión. Este comportamiento se produce porque es el controlador de dominio el que intentó autenticar el intento de inicio de sesión fallida. También podemos auditar el cambio de directivas configuración de seguridad que determina si se deben auditar todas las incidencias de los cambios en las directivas de asignación de derechos de usuario, las directivas de auditoría o las directivas de confianza. Auditar el seguimiento de procesos nos permite disponer de un registro detallado de la ejecución de procesos, incluyendo el inicio de programa, salida del proceso, duplicación de manejadores y acceso indirecto a objetos. El seguimiento de procesos como mínimo, genera un evento para el inicio y salida de cada proceso. De este modo si se habilitan los aciertos se generan un gran número de eventos en el visor de sucesos. Esta auditoría resulta útil para la solución de problemas de aplicaciones y aprender cómo éstas trabajan, sin embargo debemos habilitarla porque tenemos razones claras para ello. Probablemente necesitaremos un método automatizado de análisis de los registros de sucesos para analizar los archivos de registro con éxito allí donde hemos habilitado el seguimiento de procesos. Al habilitar la auditoría del uso de privilegios registramos el momento en que un usuario o servicio utiliza uno de los derechos de usuario para llevar a cabo un procedimiento, con la excepción de unos pocos derechos de usuario que no se auditarán. 6

7 Ya que cualquiera con acceso a una cuenta administrativa tiene la autoridad de conceder a otras cuentas derechos y privilegios aumentados y además, crear cuentas adicionales, la auditoría de estos sucesos se convierte en una parte primordial del diseño e implementación de la seguridad de red en una organización. A menos de que dispongamos de métodos sofisticados de identificación, biometrías y medidas de alta seguridad, puede ser difícil e incluso imposible garantizar que la persona que usa una cuenta administrativa es el usuario a quien realmente le pertenece. Asimismo, auditar la administración de cuentas es una de las maneras en que una organización puede responsabilizar de sus acciones a los administradores. Habilitando la auditoría de estos sucesos nos permitirá grabar eventos como: Cuando se crea, cambia o elimina una cuenta de usuario o grupo. Cuando se renombra, deshabilita o habilita una cuenta de usuario. Cuando se establece o cambia una contraseña. Cuando se cambia una directiva de seguridad de un equipo. Los sucesos de inicio de sesión de cuenta se generan en los controladores de dominio para la actividad de cuentas de dominio y en los equipos locales para la actividad de cuentas locales. Si están habilitadas ambas categorías de directiva (inicio de sesión de cuentas y auditoría de inicio de sesión), los inicios de sesión que utilizan una cuenta de 7

8 dominio generan un suceso de inicio o cierre de sesión en la estación de trabajo o servidor, y generan un suceso de inicio de sesión de cuenta en el controlador de dominio. Auditar los inicios de sesión de cuenta permite determinar si hay que auditar cada instancia de inicio o cierre de sesión de usuario en otro equipo distinto del que se utiliza para validar la cuenta. Los sucesos de inicio de sesión de cuenta se generan cuando una cuenta de usuario de dominio se autentica en un controlador de dominio. El suceso se registra en el registro de seguridad del controlador de dominio. Los sucesos de inicio de sesión se generan cuando un usuario local se autentica en un equipo local. El suceso se graba en el registro de seguridad local. Los sucesos de cierre de sesión de cuenta no se generan. Finalmente para ver todos estos suceso se utiliza el Visor de Eventos o Sucesos También podemos auditar los accesos a carpetas y ficheros compartidos. Volúmenes con sistemas NTFS permiten auditar diferentes tipos de acceso a carpetas y archivos: recorrer y mostrar de carpetas leer, escribir atributos de carpetas crear carpetas y/o archivos tomar posesión de carpetas y/o archivos eliminar carpetas y/o archivos cambiar permisos de carpetas y/o archivos ejecutar archivos leer y/o escribir datos en archivos Para iniciar este apartado, en menu contextual de Propiedades de MiPC y luego Seguridad -> Opciones Avanzadas indicamos que vamos auditar y que elementos deseamos auditar. Hay que precisar también si haremos una auditoría heredable. 3. Algunos COMO's de MSDN referentes a auditorías en Windows Server Este COMO es uno de los decenas de artículos relacionados con la auditoría de objetos en Windows Server. He elegido este por su generalidad, pero hay otros muchos que permiten auditar otro tipo de elementos como aplicaciones, servicios del servidor, etc... En este artículo paso a paso se describe cómo utilizar la auditoría de Windows Server para hacer un seguimiento de las actividades de los usuarios y los sucesos de todo el sistema en Active Directory. 8

9 Cuando utiliza la auditoría de Windows Server puede hacer un seguimiento tanto de las actividades de los usuarios como de las actividades de Windows Server (que se denominan sucesos) de un equipo. Al utilizar la auditoría puede especificar qué sucesos se escriben en el registro de seguridad. Por ejemplo, el registro de seguridad puede mantener un registro de los intentos válidos y fallidos de inicio de sesión, y de los sucesos relacionados con la creación, apertura o eliminación de archivos u otros objetos. Una entrada de auditoría en el registro de seguridad contiene la información siguiente: La acción que se realizó. El usuario que realizó la acción. El éxito o el error del suceso y la hora a la que se produjo el suceso. Cuando audita sucesos de Active Directory, Windows Server 2003 escribe un suceso en el registro de seguridad en el controlador de dominio. Por ejemplo, si un usuario intenta iniciar sesión en el dominio utilizando una cuenta de usuario de dominio y el intento es incorrecto, el suceso se graba en el controlador de dominio, no en el equipo donde se intentó iniciar sesión. Utilice el Visor de sucesos para ver los sucesos que Windows Server 2003 graba en el registro de seguridad. También puede almacenar los archivos de registro para realizar un seguimiento de las tendencias a lo largo del tiempo. Por ejemplo, si desea conocer el uso de impresoras o archivos, o si desea comprobar el uso de recursos no autorizados. Para habilitar la auditoría de objetos de Active Directory: Configure una opción de directiva de auditoría para un controlador de dominio. Cuando configura una opción de directiva de auditoría puede auditar objetos pero no puede especificar el objeto que desea auditar. Configure la auditoría para determinados objetos de Active Directory. Después de especificar los sucesos que desea auditar para archivos, carpetas, impresoras y objetos de Active Directory, Windows Server 2003 hace un seguimiento y registra estos sucesos. Configurar una opción de directiva de auditoría para un controlador de dominio De forma predeterminada, la auditoría está desactivada. En el caso de los controladores de dominio, se configura una opción de directiva de auditoría para todos los controladores de dominio del dominio. Para auditar los sucesos que se producen en controladores de dominio, configure una opción de directiva de auditoría que se aplique a todos los controladores de dominio de un objeto de directiva de grupo (GPO) no local para el dominio. Puede tener acceso a esta opción de la directiva a través de la unidad organizativa Controladores de dominio. Para auditar el acceso de los usuarios a objetos de Active Directory, configure la categoría de sucesos Auditar el acceso del servicio de directorio en la opción de directiva de auditoría. Debe conceder el derecho de usuario Administrar registro de auditoría y seguridad al equipo donde 9

10 desee configurar una opción de directiva de auditoría o examinar un registro de auditoría. De forma predeterminada, Windows Server 2003 concede estos derechos al grupo Administradores. Los archivos y carpetas que desee auditar deben estar en volúmenes formateados con el sistema de archivos de Microsoft Windows NT (NTFS). Para configurar una opción de directiva de auditoría para un controlador de dominio: 1. Haga clic en Usuarios y equipos de Active Directory. 2.En el menú Ver, haga clic en Características avanzadas. 3.Haga clic con el botón secundario en Controladores de dominio y, a continuación, haga clic en Propiedades. 4.Haga clic en la ficha Directiva de grupo, haga clic en Directiva predeterminada de controladores de dominio y, después, haga clic en Modificar. 5.Haga clic en Configuración del equipo, haga doble clic en Configuración de Windows, Configuración de seguridad y Directivas locales y, después, haga doble clic en Directiva de auditoría. 6.En el panel derecho, haga clic con el botón secundario en Auditar el acceso del servicio de directorioy, a continuación, haga clic en Propiedades. 7.Haga clic en Definir esta configuración de directiva y, a continuación, haga clic para activar una o ambas de las casillas de verificación siguientes: Éxito: haga clic para activar esta casilla de verificación si desea auditar los intentos correctos para la categoría de sucesos. Error: haga clic para activar esta casilla de verificación si desea auditar los intentos fallidos para la categoría de sucesos. 8.Haga clic con el botón secundario en cualquier otra categoría de sucesos que desee auditar y, a continuación, haga clic en Propiedades. 9.Haga clic en Aceptar. 10.Puesto que los cambios que realiza en la configuración de la directiva de auditoría del equipo sólo surten efecto cuando la configuración de la directiva se propaga o se aplica a su equipo, realice cualquiera de los pasos siguientes para iniciar la propagación de la directiva: Escriba gpupdate /Target:computer en el símbolo del sistema y presione ENTRAR. Espere a que se realice la propagación automática de la directiva que tiene lugar a intervalos periódicos que puede configurar. De forma predeterminada, la propagación de la directiva se 10

11 produce cada cinco minutos. 11. Abra el registro de seguridad para ver los sucesos registrado Configurar la auditoría para determinados objetos de Active Directory Después de configurar una opción de directiva de auditoría, puede configurar la auditoría para determinados objetos como usuarios, equipos, unidades organizativas o grupos, especificando tanto los tipos de acceso como los usuarios cuyo acceso desea auditar. Para configurar la auditoría para determinados objetos de Active Directory: 1. Haga clic en Usuarios y equipos de Active Directory. 2.Asegúrese de que el comando Características avanzadas está seleccionado en el menú Ver; para ello, compruebe que el comando tenga una marca de verificación al lado. 3.Haga clic con el botón secundario en el objeto de Active Directory que desee auditar y, a continuación, haga clic en Propiedades. 4.Haga clic en la ficha Seguridad y, después, haga clic en Opciones avanzadas. 5.Haga clic en la ficha Auditoría y, a continuación, haga clic en Agregar. 6.Realice uno de los pasos siguientes: Escriba el nombre del usuario o el grupo cuyo acceso desea auditar en el cuadro Escriba el nombre de objeto a seleccionar y haga clic en Aceptar. En la lista de nombres, haga doble clic en el usuario o el grupo cuyo acceso desee auditar. 7.Haga clic para activar las casillas Correcto o Error correspondientes a las acciones que desee auditar y, a continuación, haga clic en Aceptar. 8.Haga clic en Aceptar y, después, haga clic de nuevo en Aceptar. El tamaño del registro de seguridad es limitado. Por eso, Microsoft recomienda que seleccione cuidadosamente los archivos y las carpetas que desea auditar. Tenga en cuenta también la cantidad de espacio en disco que desea dedicar al registro de seguridad. El tamaño máximo se define en el Visor de sucesos. 11

12 Referencias Wikipedia MSDN 12