Monitoreo remoto sistemas en red para la auditoria informática Ciolli María Elena, Porchietto Claudio, Rossi Roberto Grupo Investigación Instituto Universitario Aeronáutico, Córdoba, Argentina Abstract. Esta ponencia presenta el resultado l análisis e implementación herramientas para el control remoto l hardware y software una red informática basado en la conceptualización GLPI (gestión libre l parque informático) y en la norma ISO 7 dominio 7 (gestión activos) sección 7.(inventario activos). Se realizó un estudio comparativo entre dos herramientas: OCS Inventory NG y Open Audit. Se tomaron como factores claves la intificación unívoca hardware y el software l parque informático y asimismo se consiraron relevantes: el impacto en el tráfico la red, las facilidas las herramientas y la explotación la base datos resultante para su integración con otros sistemas información. Se preten implementar un sistema información automática inventario que registre los cambios la configuración una red informática, aplicándose en primer término a la red interna l Instituto Universitario Aeronáutico que cuenta con un plantel máquinas aproximadamente, repartidas entre penncias l IUA central y centros apoyo Rosario y Buenos. Aires. Palabras clave: OCS Inventory NG, Open Audit, GLPI, Auditoria, Monitoreo. Introducción Existen diversos estándares y prácticas [] que finen cómo gestionar diferentes puntos la función IT entre ellos : COBIT COSO ITIL ISO/IEC 7 FIPS PUB ISO/IEC TR ISO/IEC 8: TickIT TOGAF IT Baseline Protection Manual NIST 8- Fue seleccionada para esta investigación como base normativa la ISO/IEC 7 [],[], por ser un estándar internacional en la cual los puntos control son la clave para su implementación. En este proyecto se tomó la misma el dominio 7, Gestión activos, sección 7. ya que el mismo trata sobre Inventario Activos y Directrices para su clasificación. A los efectos disponer un estudio campo que permita terminar el uso aplicaciones GLPI en el entorno las universidas tanto públicas como privadas la ciudad Córdoba Capital se ha realizado un relevamiento en distintas universidas, entre ellas la UNC y la UCC. En este sentido se ha podido terminar que sólo en algunas áreas muy limitadas se utiliza software l tipo GLPI con fines seguimiento intervenciones sobre los equipos, como en el caso soporte técnico, y no como gestión global recursos informáticos, licencias software o automatización l inventario. No se ha encontrado ningún trabajo que analice el comportamiento herramientas código abierto en ambientes multiplataforma con conexión LAN, WAN o VPN, pero sí existen experiencias
sarrolladas en empresas con la utilización aplicaciones propietarias. En el primer caso las referencias encontradas son escasas y direccionan directamente a la página oficial las herramientas consiradas o a los foros consulta las mismas. En un diagrama como muestra la figura, puen apreciarse los distintos roles que intervienen en una auditoría que realiza el control activos informáticos:, a saber: Figura : Auditoria estándar Estaciones trabajo. Auditor. Informe o reporte. Base datos. Estación para el análisis datos. Lista procedimientos. En la actualidad, en el organismo don se realiza la investigación, el rol auditor lo encarna una persona física apoyado por el software AIDA. El informe o reporte es transportado en un pendrive y la base datos es una PC don se guardan todos los informes. Todo esto se ejecuta en base a unos procedimientos internos estandarizados por normativas la Fuerza Aérea Argentina, la cual pen este instituto. Como resulta evinte, es muy ardua la tarea tener actualizada dicha base datos, por lo que es necesario realizar la investigación, sarrollo e implementación un software que permita el control automático l parque informático la institución y la generación y actualización reportes mediante supervisión la base datos l mismo. Se preten, en síntesis, tener un control l inventario la red informática tanto lógico como físico. Al realizarlo manera autónoma, los períodos actualización la información resultan menores que cuando se realiza con un técnico que releva máquina por máquina en forma local y registra la información en una base datos preexistente. Los beneficios más importantes son: Menor tiempo actualización la información. Disminución la probabilidad errores originados por el ingreso manual los datos. Reducción costos mantenimiento. Metodología A la hora implementar una solución al problema la auditoría surgen distintas interrogantes, qué Herramienta usar?, cómo se implementa?, qué datos se puen extraer?, qué datos son relevantes extraer?, entre otros. Habiéndose analizado diferentes opciones para lograr este objetivo, se planteó un análisis dos herramientas preseleccionadas código abierto, a saber: OCS Inventory [], [] y Open Audit [9]. Es pertinente aclarar que se contempla la posibilidad que ninguna las herramientas existentes cumpla con todo los requerimientos. Esto no plantea mayor
impedimento, siendo herramientas código abierto se podrán acuar a los requerimientos. Con el fin tener una primera aproximación al funcionamiento las herramientas, este análisis fue llevado a cabo sobre un entorno trabajo virtual. Posteriormente se realizó sobre una pequeña red LAN arquitectura heterogénea Nuestro esquema funcionamiento está centrado en la auditoría las máquinas que pertenecen a una red. En principio esta red está segmentada, con diferentes dominios, diferentes sistemas operativos, y diferentes usuarios. El primero los interrogantes es qué es necesario modificar o agregar a mi red para por implementar el sistema auditoría? netamente un sistema distribuido en toda la red. Para responr estas preguntas es válida la utilización un entorno trabajo virtual. El esquema funcionamiento l sistema que se plantea se aproxima al que se muestra en la figura Esta estructura simula la red informática y se implementó en máquinas virtuales emuladas con Oracle VirtualBox. qué datos se puen extraer? Al extraer datos tales como: usuarios, programas, configuraciones, etc, en general datos lógicos, la virtualización no presenta mayores inconvenientes, pero a la hora extraer datos los componentes físicos la misma no es suficiente. Luego surge la pregunta cómo voy a enviar al auditor a cada estación trabajo?. De aquí surge la segunda etapa l proyecto, centrada en la filidad los datos extraídos. Todas estas preguntas tienen un elemento en común que consiste en cómo factores externos a la herramienta afectan al spliegue la misma []. De más esta cir que una herramienta auditoría es Nuestro nuevo entorno trabajo es una pequeña red aislada, compuesta por estaciones trabajo todas hardware diferente (distintos microprocesadores, placas madres, monitores, etc). Amás cada estación trabajo también contiene sistemas operativos instalados. Si bien con solo estaciones no se pue tener toda la diversidad hardware que hay en una red máquinas, esta configuración es una muestra representativa un entorno real. El esquema funcionamiento l sistema que se plantea se aproxima al que se muestra en la figura Figura : Estructura la red virtual
Athlon x FX observó en un análisis tráfico red que el volumen éste es directamente proporcional a la cantidad máquinas. Esto nos permite estimar el tráfico total para la red la institución. Con el fin no congestionar a la red se programan los horarios y la velocidad la auditoria. En la segunda etapa se realizó una comparación la filidad los datos extraídos, inspeccionando los informes cada herramienta y verificando contra el hardware y software real cada máquina. Administrador por consola web TL-SF6D I MLG6 Servidor De GLPI virtual Con todos estos informes se confeccionó la tabla, don se obtienen los siguientes indicadores, cuyos valores oscilan entre cero y cinco don cinco es el máximo valor y cero el mínimo. E Figura : Topología red real para entorno pruebas Inventario Software correspon a datos fidignos y completos (nombre, versión, números serie, licencia, etc, ). correspon a datos fidignos (nombre, versión, etc, pudiendo faltar algún número serie o licencia pero auditando todo lo que tiene el sistema) correspon a datos parciales (ejemplo: No reconoce todo el software instalado o solo los nombres pero no las versiones) Se pue apreciar en la figura que el servidor GLPI sigue siendo virtual. Esto no supone problemas a la hora validar los datos ya que no es la máquina don se alojan los servidores la que nos interesa auditar. Resultados De la primer etapa l proyecto surgen las guías instalación y spliegue las herramientas. Amás se pudo estimar el impacto en la red para cada una ellas. Se Tabla : Cuantificador numérico. Herramienta, Atributo Inventario Software Software base con licencia -Sistema Operativo Actualizaciones Sistema Operativo Software aplicaciones con licencia Antivirus Software gratuito Inventario Hardware Motherboard Procesadores Memoria Almacenamiento físico HDD Almacenamiento físico ( CD, pen, etc ) Almacenamiento lógico Vio Sonido Red BIOS Monitor Dispositivos entrada. Impresoras Impacto en red Volumen tráfico en la auditoría Volumen tráfico en el spliegue Facilidas Desligue TOTAL Valoracio Importacia OCS inventory Windows xp OCS inventory Windows 7,,8,,,, 68, OCS inventory ubuntu,,8,,,,,8 6 Open Audit Windows xp,8,8, 9,8 Open Audit Windows 7,8,,6, 7, Open Audit ubuntu,8,,6, 7,,8,,, 6,8
correspon a datos incompletos (Ejemplo: No tecta cierto software.) correspon a datos inciertos (Completa campos con nombres o números no significativos) Inventario Hardware correspon a datos fidignos y completos (nombre, revisión, números serie, etc, ). correspon a datos fidignos (nombre, molo, pudiendo faltar algún número serie, pero auditando todo lo que tiene el sistema) correspon a datos parciales (ejemplo: Reconoce cuanta memoria RAM tiene pero no el molo.) correspon a datos incompletos (Ejemplo: No tenta un microprocesador, no tecta tarjetas expansión.) correspon a datos inciertos (Completa campos con nombres o números no significativos) Impacto red correspon a volumen tráfico excente menor a la mitad al excente promedio. correspon a volumen tráfico excente mayor a la mitad al excente promedio. correspon a volumen tráfico excente cercano al excente promedio. correspon a volumen tráfico excente menor al doble l excente promedio. correspon a volumen tráfico excente mayor al doble l excente promedio. De la tabla se pue concluir que OpenAudit es la herramienta que más se aproxima a los requerimientos la norma ISO 7, pero es necesario su mejora para lograr el objetivo planteado. cómo funciona Open Audit para auditar un dominio? La figura muestra un esquema general auditoria dominio con la herramienta Open Audit. Figura : Auditoria dominio Al iniciar sesión los usuarios l dominio se registran ante el PDC (controlador primario dominio), que es implementado por el servidor Samba, que los instruye a ejecutar un Script auditoria. Dependiendo l sistema operativo el Script es diferente. El Script para Linux está compuesto una serie sentencias consola cuya salida es analizada clasificada y segmentada por herramientas para procesar texto como awk. En Windows se utiliza un Script semejante al Linux que está codificado en Visual Basic y basado en instrucciones WMI
Service (Windows Instrumentation). Management cómo funciona Open Audit para auditar máquinas fuera l dominio? por html al servidor l Open Audit que se encarga cargar los datos en el servidor base datos. cómo se genera un reporte l estado general la red? En la figura 6 se aprecia cómo es el flujo información a la hora realizar una consulta. Figura : Auditoria fuera l dominio. Un servidor con un método Polling es el encargado enviar el auditor. En la figura se observa que aunque el segundo proceso distribución parece más simple, no lo es, ya que es necesario cargar máquina por máquina en una lista con sus correspondientes nombres usuario con privilegios administrador. Todo esto conlleva a la necesidad tener una gestión distribuida en la red y no concentrada. cómo almacenan la información? Ambos Scripts guardan en canas texto la información extraída que contiene un intificador cabecera y caracteres especiales como separador campos. Estas canas son almacenadas temporalmente en un archivo texto (reporte) cuyo nombre es el la máquina auditada. Una vez realizadas todas las consultas, el archivo reporte es enviado Figura 6: Consulta genérica No es necesario que las máquinas auditadas estén en linea al momento realizar la consulta. esto cumple con la disponibilidad datos pedida por la ISO. En concordancia con el sistema actual, el rol l auditor es cambiado una persona física a un Script, el reporte que se trasladaba y almacenaba manualmente ahora lo hace a través la red LAN interna cuyo único requerimiento es que brin conectividad entre las estaciones trabajo y el servidor l OpenAudit. Los procedimientos estandarizados están almacenados en el controlador dominio
que es quien va a cidir qué máquinas son auditadas y cuándo. Esquema general En la figura 7, se presenta un diagrama en bloques que muestra el esquema general que es necesario agregar a la red para implementar la herramienta. arbitrariamente por un administrador la red cuya pericia avala su contenido. No obstante esto podría ser aplicable solo a la red en la que pertenece dicho administrador. Del relevamiento realizado en instituciones universitarias la provincia Córdoba, se concluyó sobre la no utilización software l tipo GLPI para tareas gestión global l parque informático. En este sentido se estima la utilidad este trabajo a los fines su implementación en otras áreas gestión pública. Conclusiones Las pruebas realizadas sobre el software mostraron que el mismo no es afectado por la topología la red, ya que se parte la presunción que todas las máquinas tienen conectividad contra su servidor dominios o la puerta enlace a Internet, por lo que nos limitamos a simular solamente una subred:...x Figura 7: Molo implementación en red El área pintada gris representa una red como la existente en el IUA, el área pintada turquesa son los servidores que se incorporarán o modificarán. Hay que stacar que hay un área compartida que es el servidor dominio que al momento implementar el sistema en la red real será necesario modificar su configuración. Por esto mismo es vital importancia que estas configuraciones y modificaciones sean exhaustivamente probadas, a los efectos evitar fallos en la red. Discusión La columna valoración importancia que cuantifica a la tabla, fue creada Actualmente se continúa perfeccionando el código fuente OpenAudit a fin lograr la tección completa todos los componentes mencionados por la norma, cuya valoración es visualizada en la tabla. Este es uno lo motivos que se elijan herramientas trabajo código fuente libre. El éxito las pruebas tanto en el entorno virtual como real originó que este logro técnico esté documentado y a disposición los otros proyectos l Ministerio Defensa en ejecución en la actualidad.
Trabajos futuros Adaptación l frontend PHP que brinda la herramienta Open Audit con nuevas consultas SQL que faciliten la interacción con la información recolectada. En la siguiente etapa se implementará una integración entre la base datos Open Audit y la base datos la institución a los fines su convergencia a una única solución. Referencias. http://auditoriasistemas.com/estanda res-ti/. Barzan T. A. (). IT Inventory and Resource Management with OCS Inventory NG., Ed. Packt Publishing.. Jackson C. ( ). Network Security Auditing. Ed. Cisco Press.. Fettig A. (). Twisted Network Programming Essentials. Ed. O'Reilly.. Philippe J. y Flatin M. (). Web Based Management of IP Network Systems. Ed. John Wiley & Sons. 6. McNab C. (7). Network Security Assessment, 7. Echenique Garcia J. A.(). Auditoria en Informática. Ed. Compañía Editorial Continental. 8. Piattini V. M. y Del Peso N. E. (8). Auditoria Tecnologías y Sistemas Información. Ed. Alfaomega Grupo Editor. 9. http://www.open-audit.org/. http://www.ocsinventory-ng.org/en/. http://www.iso7.es/. http://www.7799.com/ Datos Contacto: Ciolli María Elena, Porchietto Claudio, Rossi Roberto {mciolli,porchietto,roberto.rossi}@gmail.com
Anexos Implementación l entorno virtual Este proyecto se basa principalmente en el análisis distintos sistemas código abierto, por lo que es crucial tener una plataforma pruebas que sea estable, aislada y don se puedan implementar versiones fácilmente recuperables. Se optó por utilizar máquinas virtuales emuladas con VirtualBox y alojadas en una estación trabajo con prestaciones suficientes para alojar a todos los componentes una pequeña red. Para la emulación se eligió VirtualBox por ser una herramienta con licencia GNU General Public License (GPL) versión, lo que permite el ahorro l gasto en licencias propietarias y, la posibilidad utilizar la virtualización por hardware VT-x/AMD-V, tecnología que be ser soportada por el micro procesador la estación trabajo anfitriona y permite una amplia mejora en el rendimiento. Procesos realizados Construcción l entorno trabajo. Consta VM que representan estaciones trabajo con Windows Xp, Windows 7 y VM que representan los servidores con Ubuntu server. Dicho entorno está configurado tal manera que emula a la infraestructura existente en el IUA, en don las estaciones trabajo Windows penn controladores dominio montados en servidores Linux con Samba. Luego generado el ambiente, se proce a generar imágenes cada máquina virtual con el fin por regenerar manera simple y rápida un nuevo ambiente prueba virgen. Despliegue sobre el espacio trabajo la primera las herramientas a probar. Se generan informes en los que se talla el proceso con la finalidad que la experiencia sea fácilmente repetida al momento implementarlo en un entorno real. Análisis l funcionamiento la herramienta y generación un informe estandarizado que facilite la comparación con otras dos herramientas. Se repiten los últimos dos puntos para las otras herramientas. Informe comparativo las herramientas con el que se selecciona una y se enumeran las falencias la misma según los requerimientos l proyecto para que posteriormente se cubran con otras herramientas. Infraestructura requerida Para alojar esta red informática virtual se requiere una estación trabajo. Todos estos sistemas operativos ben funcionar simultáneamente en la PC que actúe como anfitriona. Se be dimensionar la PC que albergará el ambiente virtual para las pruebas. Basados en documentación provista por Microsoft, Canonical y datos recogidos Internet construimos la siguiente tabla.
Tabla : Estimación los requerimientos Hardware Máquina virtual Memoria por Máquina Virtual Frecuencia CPU ( MHz ) Cantidad Máquinas Virtuales Total Memoria ( Mbytes ) Total CPU ( MHz ) ( Mbytes ) Microsoft Windows 7 X6 8 89 Windows Xp 8 Ubuntu Desktop 8 Ubuntu server 6 ------------- ------------ 88 87 Total: Se requiere un total GB RAM y un procesador 8.7GHZ o los que es lo mismo dado que se pue paralelizar el cálculo un procesador núcleos a,ghz. Se optó por un Intel i7 6k cuatro núcleos a. GHz y 6GB RAM. En los servidores es necesario calcular la memoria que consumirán ya que esta varía en función los servicios y la cantidad usuarios. Para calcular la memoria que consumirá el controlador primario dominios, que es uno los servidores l dominio virtual, es necesario saber la cantidad usuarios que tiene la red. En la red virtual planteamos que sean. Este servidor corre un consirable número servicios. Dicha situación se refleja en la Tabla. Tabla : Requerimientos mínimos memoria Servidor SAMBA Nombre aplicación Memoria por usuario Cantidad usuarios Total ( Mbytes ) (Mbytes) DHCP server) (dhcpd-,, DNS 6 6 Samba (nmbd) 6 6 Samba (winbind) 6 6
Samba (smbd) Basic OS 6 6 6 ---------------------- Total: 7 Por lo tanto se estima que con un total MB RAM será suficiente para cubrir las necesidas memoria en la simulación planteada con anterioridad. La tabla talla los costos estimados valorar las dos principales alternativas. Si bien el costo la estación trabajo necesaria para alojar el entorno trabajo virtual es elevado, el mismo es muy inferior al necesario para implementar el entorno real. Otro los inconvenientes que se presenta es la no centralización los sistemas, pues para implementar un control versiones hay que realizar imágenes cada disco duro haciéndolo máquina por máquina. En el entorno virtual es suficiente con clonar cada PC y etiquetarla con un nombre diferente. Formulación y Valoración Alternativas La primera alternativa a utilizar VirtualBox es VMware que tiene funcionalidas muy parecidas pero exige el pago licencias. Otra alternativa es la utilización una red real con estaciones trabajo y servidores reales pero esto tiene dos grans sventajas, costos muy superiores y mayor dificultad para realizar el versionado. Análisis costo Tabla : Estimación los costos monetarios Cantidad Costo unitario Virtual Cantidad Costo unitario Real Estaciones trabajo 97,8 97,8 Servidores 87,99 87,99 687, 98 switch cableado Total 97,8 79,98