DS 181
y su análisis
Carlos A. Vicente Altamirano, UNAM
Mario Farías-Elinos, ULSA
Lidia E. Gómez Velazco, CICESE
María C. Mendoza Díaz, CICESEhttp://seguridad.internet2.ulsa.mx
Objetivos
• Reconocer la importancia y utilidad de la
información contenida en las bitácoras de los
sistemas de cómputo.
• Mostrar algunas herramientas que ayudan a
automatizar elproceso de análisis de bitácoras.
1
Agenda
•
•
•
•
•
Introducción
La problemática
La importancia de las bitácoras
Arquitectura del registro de bitácoras
Análisis de bitácoras y susherramientas
Introducción
• Hoy en día los sistemas de cómputo se encuentran
expuestos a distintas amenazas informáticas.
• Las vulnerabilidades de los sistemas aumentan, al
mismo tiempo que sehacen mas complejos.
• El número de ataques también aumenta.
2
Introducción
• El crecimiento de Internet y las capacidades de
nuevas redes como Internet2 enfatizan esta
problemática.
• Lossistemas de cómputo generan una gran
cantidad de información (bitácoras o logs) que
pueden ser de ayuda ante un incidente de
seguridad.
Introducción
• Una bitácora puede registrar muchainformación
acerca de eventos relacionados con el sistema que
la genera.
– Fecha y hora
– Direcciones IP origen y destino
– Dirección IP que genera la bitácora
– Usuarios
– Errores
3
Laimportancia de
las bitácoras
•
•
•
•
•
Recuperación ante incidentes de seguridad
Detección de comportamiento inusual
Información para resolver problemas
Evidencia legal
Es de gran ayuda en lastareas de cómputo forense
Problemática
• La revisión diaria de las bitácoras es una tarea
tediosa.
• Es una actividad que pocos administradores llevan
a cabo.
• Se desconoce que las bitácorasnos pueden evitar
horas de angustia :)
4
Arquitectura del registro
de bitácoras
• Centralizada
servidores
ruteadores
syslog
Dial-up
syslog
Switches
firewall
Log Server...
Regístrate para leer el documento completo.